サイバー攻撃に起因するインシデントの発生件数は、年々増加傾向にある。特に2020年には、正規メールへの返信を偽装したなりすましメールを企業ユーザーに送り付け、添付ファイルを開かせることでファイルに忍ばせたEmotet(エモテット)と呼ばれるマルウエアに感染させて情報を盗むというインシデントが急増した。この時に多くの企業が頭を抱えたのが、“どの端末が感染したのか分からない”“大元のなりすましメールがどこから送られてきたのかも分からない”という事態だ。こうした状況に陥った時、インシデントの可視化に非常に有効となるソリューションが侵害調査(Compromise Assessment:CA)だ。

コロナ禍でインシデントに気付かない事態が多発

どれほど手を尽くしたセキュリティ対策も万全ではない。国内企業がこのことに改めて気付かされたのが、緊急事態宣言解除後のオフィスだった。テレワークのために従業員が自宅に持ち返っていたモバイルPCが社内ネットワークに繋がれた瞬間、システム管理者の元に多くのアラートが上がってくる事態が多数の企業で発生した。

その理由について、多様なセキュリティソリューションを提供するラック サイバーセキュリティサービス統括部 サイバー救急センター フォレンジックサービスグループマネジャーの佐藤敦氏は、次のように説明する。

株式会社ラック
サイバーセキュリティサービス統括部
サイバー救急センター
フォレンジックサービスグループマネ
ジャー
佐藤 敦 氏

「現在では多くの企業が、セキュリティ強化対策として多層防御を実現しています。通常のテレワーク時も出先のモバイルPCからVPNを介して社内ネットワークにアクセスし、社内システムやクラウドサービスを利用するので安全は担保されています。しかし自宅での仕事がメインになれば、全従業員がVPN経由で社内システムにアクセスするので帯域が足りなくなってしまう。そこでユーザーは自宅のネットワークから直接、 Office 365 やZoomといったクラウドサービスにアクセスして仕事を進めることになりますが、この時に何かしらのマルウエアに感染してしまい、それに気付くことなく緊急事態宣言が明けてオフィスに出社し、ネットワークに繋いで初めて感染が発覚することになるのです。モバイルPCにアンチウイルスソフトが入っていたとしても、世の中の全ウイルスを検知できるわけではありません。緊急事態宣言解除後には、多くの企業から“恐らくPCが侵害されている”あるいは“何が侵害されているのか分からない”といったご相談をいただきました」(佐藤氏)

■コロナ禍で多層防御の盲点が浮き彫りに

佐藤氏が所属するラックのサイバー救急センターは、24時間365日、事前契約不要で企業や官公庁のインシデント対応を支援している。2006年の活動開始以降、出動実績は約3500件を数える。

このサイバー救急センターが、特にユーザー企業の緊急事態発生時に、数多くの対応実績とノウハウをベースに迅速なサポートを提供する緊急対応サービスが「サイバー119」だ。

「サイバー119は、サイバー攻撃や情報漏えいなど、情報セキュリティに関わるお客様からの緊急要請を受けて、ラックのエキスパートが復旧作業だけでなく、今後の予防策から再発防止策、事業継続のためのアドバイスまでをご提案するサービスです。具体的には、初動対応/インシデントレスポンス、保全・保全支援、ダメージコントロール、調査・解析、コミュニケーション支援、復旧・再発防止策のご提示までをワンストップでご支援しています」(佐藤氏)

サイバー救急センターでは、サイバー119を介してユーザー企業から寄せられたインシデント対応の相談に対し、今どこで問題が起こっているのか、あるいは当該企業のセキュリティ対策の脆弱ポイントがどこにあるのかを明らかにするためのソリューションを提供している。それが侵害調査(Compromise Assessment:以下CA)だ。

「CAは、クラウドストライク社のテクノロジーを活用して、企業内の全システムを対象に、標的型攻撃や現在進行中の攻撃の有無を可視化することができる調査サービスです」(佐藤氏)

侵害調査でまずは自社システムの“健康診断”を行う

クラウドストライク株式会社
プリンシパル・コンサルタント
鵜沢 裕一 氏

CAの詳細について、実際のソリューションを提供するクラウドストライク プリンシパル・コンサルタントの鵜沢裕一氏は、次のように説明する。

「CAでは、EDR(Endpoint Detection&Response:エンドポイントでの検知と対応)とファストフォレンジックという手法を利用します。EDRは、マルウエアのシグニチャに依存することなく、一連の“振る舞い”を追跡することでサイバー攻撃を検知する手法です。またファストフォレンジックは、端末内のハードディスクの全情報を取得するのでなく、ディスクに残っている痕跡などフォレンジックに必要な最小限のデータのみを収集・解析して、マルウエアの侵入経路や被害の拡大状況などを迅速に把握するための方法です。クラウドストライクでは、EDRとファストフォレンジックを利用することで、よりスピーディーなCAを可能にしています」(鵜沢氏)

サイバー攻撃による被害が明らかになった時、一般的に行われるのがディスクフォレンジックだが、この方法はコンピュータ1台当たりの実施コストが非常に高く、調査対象とするマシンを絞り込まざるを得ない。また1台当たりにかかる調査時間も長く、対象マシンの数が増えれば増えるほどより多くの期間が必要となる。

「これに対して我々のCAでは、基本的に100台、数千台、あるいは数万台規模の調査でも、ほぼ同じコストで実施することができます。例えば Windows 端末のみの調査であれば、1万台の調査でも約100時間で行うことが可能です。こうした観点からも、CAは被害の原因究明と拡大防止策が急がれる状況下で、非常に有効となるソリューションだと言えます」(鵜沢氏)

クラウドストライクのCAでは、システム管理者から調査対象の端末に実行ファイルを配布し、その実行ファイルがファストフォレンジックに必要な情報を各端末から収集してクラウドサーバーに送信する。また、同様にEDRのエージェントとしてFalconを調査対象の端末に配布する。そしてクラウドストライクは集約されたEDRの情報を元に現在の状況をモニタリングし、ファストフォレンジックの情報から過去を分析してCAを実施するのだ。まさにCAは、システム環境全体の“健康診断”を行うためのソリューションだと言える。

「私たちは、お客様のCAを実施させていただく中で見つかった新たな攻撃手法などの情報も、随時蓄積しています。そのため、一般的にはまだ知られていなくても、我々が経験したことのあるインシデントが発生した場合には、すぐに検知することができるのです。これもまたクラウドストライクのCAの大きな強みとなっています」(鵜沢氏)

■クラウドストライクの提供するCAの概要

ただしCAとディスクフォレンジックは、二者択一の手法ではないという点は理解しておく必要がある。それというのもディスクフォレンジックでは、削減済みファイルの復元やOS管理外の領域の調査など、CA対象外の部分をカバーできる特徴があるからだ。

「ラックでは、まずはCAで全台をチェックして、何かしらのインシデントが見つかった際には、ディスクフォレンジックで深掘りすることを推奨しています。CA、ディスクフォレンジック各々の特徴を理解して使い分けていくことが肝要です」(佐藤氏)

■クラウドストライクの提供するCAの概要

特にCAは、M&Aや、オリンピックなど大規模イベントの実施前に活用することで、大きな効果を得ることができる。

「CAが一番効くのは、ITデューデリジェンス(資産査定)の観点から、やはりM&Aの時です。買収後に対象企業とネットワークを統合しようとする時、相手のネットワークが本当に自社と同等のセキュリティを担保できているのか、あるいは何らかのマルウエアが潜んでいないのかは十分にチェックしておく必要があります。その際にCAを実施して、何かしらのセキュリティリスクが見つかった場合には、買収金額などもより有利な条件で交渉することができるでしょう。買収後のリスクを下げる意味でもCAは非常に有効だと言えます」(鵜沢氏)

さらにオリンピックなど大規模イベントの開催当日を狙ったサイバー攻撃に対しても、CAは有効だ。

「開催当日にシステム障害を発生させるようなマルウエアは、それ以前から主催者のシステムに潜んでいることになります。そこでイベントの開催前にCAを実施し、システム全体を可視化した状態で当日を迎えることができれば、主催者の方も安心してイベントを実行することができます。保険という意味でもCAは有効な手段です」(鵜沢氏)

標的型攻撃チェックリスト+CAでできるところから
セキュリティ対策を実施していく

ラックではユーザー企業がCAを実施するタイミング、あるいはCAの実施を提案するタイミングで活用できる『標的型攻撃チェックリスト』を無償で提供している。

「標的型攻撃チェックリストは、サイバー攻撃を未然に防ぐことを目的とするもので、事前準備/被害拡大防止/被害範囲特定/根絶/復旧という大きく5つのフェーズから構成されています。事前準備より後、4つのフェーズについては万一侵害を受けた時にどのように対応していくかの“To Doリスト”になっており、フェーズごとに目的・目標を定めて、それらを達成できた段階で次のフェーズへ移行することを想定しています」(佐藤氏)

各フェーズにはより細分化された確認事項があり、その合計は95項目にもなる。例えば事前準備なら、組織のネットワーク全体図およびVPNなど外部から内部へアクセス可能な経路を定期的に確認・アップデートしているか、あるいは被害拡大防止なら、組織内からインターネットへ接続する通信に対し、ホワイトリストを利用した通信制限、または全遮断を実施できるかどうかなどをチェックするようになっている。

「社内にCSIRTなどインシデント対応の専門部隊を設置されている企業なら、この標的型攻撃チェックリストを使って自社システムのウイークポイントを明らかにし、今後の対応策を立てていくことができます。一方セキュリティ人材がいないなどの理由で自社での対応が難しいお客様は、我々と一緒に標的型攻撃チェックリストを使って1つずつ、課題を洗い出していき、必要に応じてCAを実施し、現行システムの脆弱な部分を把握した上で、優先順位を付けて対策を打っていく対応を取ることができます。いずれのお客様の場合でも、標的型攻撃チェックリストは今自社に必要な対応事項を明らかにする上で、非常に有用なツールです」(佐藤氏)

金曜夕方、連休前夜、年末休暇の直前に慌てない
ための「サイバー119」

冒頭で紹介したように、ラックのサイバー救急センターは、24時間365日体制でユーザー企業の緊急事態に対応しているが、佐藤氏によれば、相談件数が急増するのが、金曜日の17時以降、ゴールデンウイークなどの連休前夜、そして年内最終日の昼から納会をしている頃だという。

「その少し前からインシデントには気付いていて、自分たちで調査や対策を行おうとするのですが、現在のサイバー攻撃は非常に高度化、複雑化しており、インシデントを完全に駆除するためには高い専門スキルや手法、そして時間が必要です。結果、“時間切れ”を迎えてしまうことになる。少しでも困ったことや問題点が出てきた時には、早いタイミングでサイバー119にご相談いただければと思います。サイバー119では無償でご相談を受けさせていただいており、そのやり取りの中で私たちが必要だと判断した場合には、クラウドストライクと一緒にCAをご提案させていただくこともできます。現在のインシデントには先手、先手で対応していくことが重要で、そのためのきっかけとしてサイバー119を活用いただきたいと思います」(佐藤氏)

「CSIRTのような専門チームを設置してAPT攻撃等に対応するためには、優秀な人材やそれ相応のコストが必要です。しかし全てのお客様がこうしたチームを自社で抱えることは難しいのではないでしょうか。その際に思い出していただきたいのが、緊急対応サービスを提供しているラックや、具体的なソリューションとしてCAを提供している我々クラウドストライクのようなITベンダーです。自組織のCSIRTに不足している部分を我々のスキルやテクノロジーをフルに活用して補い、自社のセキュリティを高めていくというのも1つの選択肢だと思います」(鵜沢氏)

お問い合わせ

株式会社ラック

https://www.lac.co.jp/

CrowdStrike CA(侵害調査サービス)

https://www.lac.co.jp/service/consulting/crowdstrikeca.html

緊急対応サービス「サイバー119®」

https://www.lac.co.jp/service/consulting/cyber119.html